我收到“未送达的邮件已退回给发件人”的消息。相关邮件消息正在使用有效用户转发([电子邮件保护]) 在我的服务器 (server1.nbicharts.com) 上。我控制该电子邮件地址,因此转发不是我做的。我已经测试过我的服务器不是开放中继,所以我需要帮助来跟踪允许这种情况发生的漏洞。我推测,虽然我只看到未送达的消息,但肯定还有更多正在送达的消息。
任何帮助将不胜感激。
以下是一条典型的消息:
This is the mail system at host server1.nbicharts.com.
I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can delete your own text from the attached returned message.
The mail system
<[email protected]>: host b.as.safentrix.com[23.239.12.179] said:
550 5.1.1 <[email protected]>: Recipient address rejected: User
unknown (in reply to RCPT TO command)
Reporting-MTA: dns; server1.nbicharts.com
X-Postfix-Queue-ID: D7340580C88
X-Postfix-Sender: rfc822; [email protected]
Arrival-Date: Sat, 25 Jul 2015 06:35:04 -0400 (EDT)
Final-Recipient: rfc822; [email protected]
Original-Recipient: rfc822;[email protected]
Action: failed Status: 5.1.1
Remote-MTA: dns; b.as.safentrix.com
Diagnostic-Code: smtp; 550 5.1.1 <[email protected]>: Recipient
address rejected: User unknown
ForwardedMessage.eml
Subject: Reply: kavithamai
From: kavithamai <[email protected]>
Date: 07/25/2015 01:35 AM
To: "hrrecruitmentcell" <[email protected]>
Begin forwarded message
>
>>
>>> http://freefinancialstresstest.com/lazbqala.php?kavithamai
>
> From: Kavithamai [email protected]
> Date: Fri, 25 Jul 2015 11:35:04 +0000
> To: Hrrecruitmentcell
> Subject: Re: Fwd
>
> 7/25/2015 11:35:04 AM
Sent from my iPad
这里mail.log
Jul 25 06:35:06 server1 postfix/smtp[18650]: D7340580C88: to=<[email protected]>, relay=b.as.safentrix.com[23.239.12.179]:25, delay=1.8, delays=1.1/0/0.45/0.2, dsn=5.1.1, status=bounced (host b.as.safentrix.com[23.239.12.179] said: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown (in reply to RCPT TO command))
答案1
您进行了一些调查,发现原始出站电子邮件是通过您的服务器发送的。这意味着,在这种情况下,您没有乔布德。
仔细查看日志后发现,该用户已通过身份验证,可以从 Orange Slovakia 发送电子邮件,这很可能是移动连接。您应该询问该用户,他为什么要通过身份验证,从 Slovakia 发送电子邮件。
如果他有意发送这封邮件,您应该根据您的可接受使用政策评估他的行为。如果他无意发送,那么他的帐户(可能还有他的移动计算设备)已被盗用,他应该进行适当的清理,您应该锁定他的帐户,直到您满意他已完成此操作为止,同样,这取决于您的可接受使用政策来证明您的行为的合理性。
答案2
这比利用服务器漏洞更有可能,看起来像是欺骗源地址。处理此问题的方法之一(但不能完全缓解)是使用 SPF 记录。
目前 proactech.com 域没有 SPF 记录。这意味着目标邮件服务器无法验证传入邮件是来自您的邮件服务器(合法)还是其他邮件服务器(不合法)。
如果您安装了 SPF 记录,则检查 SPF 记录有效性的目标系统(向您发送退回邮件) (如今有很多这样的系统) 将拒绝来自这些 SPF 记录不允许的服务器的任何传入邮件,并且它们不会尝试传递此类邮件。这意味着您不会收到退回邮件。
您还可以考虑安装 DKIM,这是另一个可以帮助您缓解部分问题的功能。我确实认为 SPF 的检查范围比 SPF 更广,所以首先要做的是 SPF,但如果可能的话,也安装 DKIM,以确保您已经尽了最大努力。